Nuevo Marco de Privacidad entre la UE y EE.UU.

¿Sabes que desde el pasado 10 de julio se ha establecido un nuevo marco de privacidad entre UE-EEUU?

¿Sabes que existen nuevas garantías a la hora de transferir datos personales a Estados Unidos?

En el país anglosajón, no existe un conjunto unificado de leyes sobre protección de datos, sino que el mismo se distribuye por sectores. Por ejemplo, la Ley de Privacidad del Consumidor de California (CCPA) o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPPA). Esto supone una mayor libertad a las empresas estadounidenses para implantar sus propios estándares de privacidad.

El Gobierno norteamericano no cuenta con una autoridad en protección de datos que vele por la privacidad de los particulares y las empresas y en caso de conflicto, las sanciones impuestas se van decidiendo caso a caso de forma independientes unas de otras.

Sin embargo, en los últimos años existe un cambio de mentalidad para proteger mejor a los individuos a través de herramientas y mecanismos que vayan alineando a los Estados Unidos con la mentalidad y las leyes ya establecidas en la Unión Europea.

De Privacy Shield a Data Privacy Framework (DPF)

La Comisión Europea adoptó el pasado 10 de julio 2023 la Decisión ejecutiva de adecuación relativa al establecimiento de un nuevo marco de privacidad entre la Unión Europea y los Estados Unidos llamado Data Privacy Framework DPF.

Con anterioridad a dicha fecha, existió desde 2016 el acuerdo conocido como Privacy Shield( Escudo de Privacidad) y que derogaba el antiguo Safe Harbor(Puerto Seguro). Este escudo de privacidad permitía a las empresas transferir internacionalmente sus datos a empresas estadounidenses, ejecutándolo mediante cláusulas contractuales tipo o normas corporativas vinculantes.

En 2021 el Tribunal de Justicia de la Unión Europea invalidó el Privacy Shield concluyendo que no ofrecía suficientes garantías de privacidad a la hora de transferir datos personales a países que estuviesen fuera de la Unión Europea. Su invalidación supuso un caos entre los Estados Unidos y la UE siendo necesaria una actualización que superara las deficiencias del acuerdo anterior y que incluyera mecanismos de supervisión más sólidos que protegieran mejor los datos personales de los ciudadanos y ciudadanas del continente europeo.

Lista del Marco de Privacidad

La actual Decisión de Adecuación, viene a decir que los EEUU garantizan un nivel adecuado de protección equiparable a la Unión Europea respecto a los datos personales transferidos desde ésta a empresas ubicadas en Estados Unidos. Dichas entidades son las que se encuentran en la Lista del Marco de Privacidad de los datos.

Todas aquellas empresas que figuren en el listado anterior han pasado todos los controles necesarios y constan de las garantías idóneas para recibir datos personales por parte de empresas ubicadas en la Unión Europea.

En relación con las personas interesadas, el nuevo Marco de Privacidad establece un mecanismo a través del cual se puede presentar una denuncia ante un nuevo Tribunal llamado Tribunal de Revisión de Protección de Datos (Data Protection Review Court).

Además, los particulares podrán ejercer sus derechos de acceso, rectificación y supresión de aquellos datos que consideren que hayan sido tratados incorrectamente o de forma ilícita. De la misma forma podrán utilizar mecanismos independientes para resolver conflictos, así como acceder a un panel de arbitraje.

Protección de Datos y Reclamaciones

Aquellas empresas que no se encuentren adheridas al DPF no podrán seguir las directrices del nuevo marco de privacidad a la hora de realizar transferencias internacionales y deberán basarse en las garantías adecuadas y establecidas en el art 46 del RGPD.

Finalmente, las personas interesadas de la Unión Europea podrán presentar sus quejas ante su autoridad nacional de protección de datos, asegurándose que la misma llegue al Comité Europeo de Protección de Datos y ésta derive su reclamación a la autoridad estadounidense correspondiente. Además, la autoridad nacional de protección de datos informará a la persona interesada de todo lo referente al proceso de tramitación de las reclamaciones, así como al resultado de la reclamación presentada.

Esta nueva Decisión, garantiza un mayor nivel de protección en relación con los datos personales que se transfieren a empresas estadounidenses y supone un paso adelante para asegurar una mayor seguridad entre los datos que circulan entre ambos territorios.

¿Aún tienes dudas? Contacta con nuestra área de Derecho de Nuevas Tecnologías, Propiedad Intelectual y Marcas de Tarinas Law & Economy.